声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
近日闲来无事,在公司挖掘zjcert的漏洞,在fofa上苦苦尝试后台弱口令登录,试着试着,突然发现一个站点和之前测过的某个房屋支撑平台系统是由同一个公司提供的技术支持。用上次的弱口令试了一下,果然不行。又想起上次的系统不止开放在一个端口上,于是拿nmap稍微扫描了一下端口,在其他端口发现了很多站点。于是又是一段漫长的弱口令尝试阶段。由于都是同一家公司提供的技术支持,所以都是利用之前测的弱口令来尝试,终于摸到了一个后台。
这个后台说来话长,进入后台后找到了文件上传的点,苦苦fuzz了一个上午,在和好同事(不要啊!)杰哥的鏖战一个上午后,终于成功getshell。中午稍稍休息一下,下午正准备大干一场提升权限,我兴致勃勃连上我的马子,结果换来的却是疏远。再拿弱口令登录了一下后台,换来的也是登录失败。弱口令被紧急修复了,我的马也被杀了,所以这一部分就不能给兄弟们展示图片了。很喜欢让子弹飞里的一句话:敢杀我的马!换条路子继续日站!
前面说到这个ip的很多端口都是开放了http服务的,于是又是一段漫长的后台弱口令测试,还是找到了一处默认口令成功登录了后台
接下来就是对该后台的各个功能进行测试,最终在功能点系统设置->统计报表设计->国有企业资产资源排查处置汇总表处找到了上传功能点
抓个包看看
测试发现,通过修改name参数的shell.xlsx为shell.aspx后,前端返回的模版名称也会变为aspx后缀,但是并未被重命名为shell,依然为国有资产汇总导出模版
感觉是上传成功了,接下来找到路径就能连上我们的马子了,按照经验来说,一般通过下载功能都是通过get请求访问文件路径进行下载,就可以获得文件的路径,理论合理,实践开始。
但是抓包后发现,是通过rdid参数来控制下载文件的内容,细心的小伙伴也发现了刚刚上传文件时也存在这个rdid的参数,但是这里确实没有找到路径,只能换个方法。
就在我心灰意冷的时候,在系统配置的系统参数配置中找到了导出模版路径
兴冲冲的去访问/uploadfile/template/stat/国有资产汇总导出模版.aspx,结果却没有解析
这个目录应该就是没有解析aspx的文件,但是系统配置里可以修改系统导出模版路径,直接改为/根目录下,根目录下不可能不解析。修改为根目录后重新上传,果然解析了,上冰蝎
虽然没有取得管理员的权限,但是也就点到为止了,离开之前也把系统配置文件复原了
原文链接
https://xz.aliyun.com/t/10576| 知识星球的介绍
不好意思,兄弟们,这里给湘安无事星球打个广告,不喜欢的可以直接滑走哦。添加下面wx加星球可享优惠
1.群主为什么要建知识星球?
很简单为了恰饭哈哈哈,然后也是为了建立一个圈子进行交流学习和共享资源嘛相应的也收取费用嘛,毕竟维持星球也需要精力
2.知识星球有哪些资源?
群里面联系群主是可以要一些免费的学习资料的,因为群里面大部分是大学生嘛大学生不就是喜欢白嫖,所以大家会共享一些资料没有的群主wk也有,wk除了不会pc,其他都能嫖hhh
一些实战报告,截的部分
一些1day的poc,这些也就是信息差,不想找可以让wk帮你们嫖,群主也会经常发
一些共享的资源
1.刀客源码的会员2.fofa 360高级会员3.专属漏洞库5.专属内部it免费课程6.不定期直播分享(星球有录屏)
技术交流可加下方wx
原文始发于微信公众号(湘安无事):记一次某资产管理业务支撑平台渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论